EU의 클라우드컴퓨팅 관련 입법 정책 연구 (Eine Studie zur EU-Gesetzgebungspolitik zum Cloud Computing)

클라우드컴퓨팅은 기존의 IT인프라에서 대응하기 어려운 경영환경의 급격한 변화에 대해서 저렴한 구축비용을 들이면서도 적시에 유연한 시스템을 제공할 수 있고, 사용자의 피드백에 따른 개선이 용이하면서도 신속하다는 점에서 큰 장점을 가지고 있다. 그렇지만 외주화된 기반설비를 바탕으로 구축된 클라우드와 그 환경에서 이루어지는 대량의 정보 집적 및 처리로 인해 정보의 노출위험성과 미흡한 개인정보 보호체계에 대해 많이 지적되고 있다. 탈레스의 ‘2022 클라우드 보안 보고서’(2022 Thales Cloud Security Report)에 따르면 전 세계적으로 멀티클라우드가 지속적인 증가추세에 있고, 이들 클라우드에서 개인정보와 데이터를 보호하는 것은 더욱 복잡하고 어렵다고 한다. 그 보고서는 최근 12개월 간 한국기업의 32%가 클라우드 데이터의 침해를 경험하거나 감시에 실패하였고 여러 사이버범죄로부터 민감정보를 보호함에 있어 우려를 밝히고 있다. 실제 클라우드 내 민감정보의 보호를 위해 주로 암호화와 키 관리가 이용되지만 이들 데이터의 유출과 악성코드 감염이라는 여러 리스크에 노출되어 있다.
우리는 클라우드환경상 개인정보 보호문제에 대해서 개별법률에 따라 클라우드컴퓨팅법과 개인정보보호법령이 중복적용 가능성이 있다. 그렇지만 2015년 제정된 클라우드컴퓨팅법(「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」)에 따르면 클라우드컴퓨팅서비스의 개인정보 보호부분에 대해서는 「개인정보 보호법」을 우선 적용하고 있으므로, 현행법제에서는 신용정보법의 적용대상이 되는 신용정보의 경우를 제외하고는 개인정보보호에 대한 사항은 「개인정보 보호법」을 우위에 두고, 클라우드컴퓨팅법은 보충적으로 적용하고 있다고 볼 수 있다.
GDPR의 주요 특징은 디지털 단일시장에 적합하고 통일된 프레임워크와 메커니즘, 정보주체의 권리를 강화, 컨트롤러의 책임성 강화, 개인정보 침해통지 제도의 확대와 제재 강화, 국제협력의 증진 등을 들 수 있다. 그리하여 클라우드컴퓨팅에 대해서도 GDPR의 데이터 컨트롤러와 프로세서의 관계, 의무, 책임 규정이 분명하게 적용된다. 개인정보 침해로 인한 침해사실의 신고 및 통지와 관련하여서는 침해사고와 관련된 법적 쟁점의 측면에서 GDPR은 우리와 유사한 부분이 있지만, GDPR이 합리적 예외규정을 두고 있는 반면 「개인정보 보호법」은 침해통지의 예외조항이 마련되어 있지 않다는 점에서 차이가 있다. 이에 복수의 컨트롤러에게 CSP가 클라우드컴퓨팅서비스를 제공하는 경우를 대비하여 지체없이 통지할 수 있는 경우뿐만 아니라 동시에 통지할 수 있는 규약을 준비할 필요가 있다. 아울러 데이터 삭제와 관련하여 클라우드컴퓨팅환경에서는 보통 백업데이터가 구성되기 때문에 사용자의 개인정보 삭제요구에 대응하여 처리하기 위해서는 프로세서인 CSP는 데이터의 유형, 보관장소, 저장형태를 항시 파악하여 보유기간이 경과한 후에 적절한 삭제를 할 수 있도록 명확한 기준이 필요하다.

Die Datenpolitik und die Gesetzgebung der EU zu Cloud Computing wurden überprüft, und die Bestimmungen der DSGVO-Verordnungen(GDPR) zu Cloud Computing und Diskussionen über deren Verbesserung wurden überprüft. Dementsprechend wurden die EU-Vorschriften zum Rahmen für den freien Fluss nicht personenbezogener Daten, die Leitlinien zur Wiederverwendung offener Daten und Informationen des öffentlichen Sektors und die ESMA-Leitlinien zum Cloud-Outsourcing vorbereitet.Vor kurzem ist das Data Governance Act in Kraft getreten , und mehrere andere Legislativvorschläge wurden vorgeschlagen. Dennoch sind im Einklang mit neuen technologischen Veränderungen noch Aufgaben zu lösen, wie z. B. die Lösung von Konflikten mit bestehenden Normen und die Neuordnung des Normensystems, um darauf zu reagieren, und die Verbesserung wird kontinuierlich diskutiert.
Zu den Hauptmerkmalen der DSGVO gehören ein einheitlicher Rahmen und Mechanismus, der für den digitalen Binnenmarkt geeignet ist, die Stärkung der Rechte der betroffenen Personen, die Stärkung der Verantwortung der für die Verarbeitung Verantwortlichen, die Ausweitung des Meldesystems für Datenschutzverletzungen und die Stärkung von Sanktionen sowie die Förderung der internationalen Zusammenarbeit. Dementsprechend werden die Beziehung, Pflichten und Verantwortlichkeiten der DSGVO zwischen Datenverantwortlichen und Auftragsverarbeitern eindeutig auf Cloud Computing angewendet.
Die DSGVO hat einige Ähnlichkeiten mit unserer in Bezug auf die Meldung und Benachrichtigung von Verstößen aufgrund der Verletzung personenbezogener Daten, aber der Unterschied besteht darin, dass die DSGVO angemessene Ausnahmen hat, während das Gesetz zum Schutz personenbezogener Daten keine Ausnahmen für die Meldung von Verstößen vorsieht Falls der CSP Cloud-Computing-Dienste für mehrere Verantwortliche bereitstellt, sollte es eine Regel geben, die nicht nur unverzüglich, sondern auch gleichzeitig benachrichtigen kann.
Da Sicherungsdaten in der Regel in einer Cloud-Computing-Umgebung erstellt werden, sind im Hinblick auf die Datenlöschung klare Standards erforderlich, um die Anfragen der Benutzer zur Löschung personenbezogener Daten zu bearbeiten. Der CSP, der Auftragsverarbeiter, sollte in der Lage sein, Daten nach Ablauf der Aufbewahrungsfrist ordnungsgemäß zu löschen, indem er Art, Speicherort und Speicherformat der Daten ständig identifiziert.